«Check Point Research ha estado rastreando estas explotaciones e identificó varios grupos de actividad dirigidos a dispositivos Connect Secure VPN vulnerables», agregó CheckPoint. «Como en muchos otros casos de explotación masiva de vulnerabilidades de 1 día, diferenciar e identificar a los diferentes actores es todo un desafío».
CheckPoint pudo establecer la conexión entre los exploits con Magnet Goblin solo después de rastrear varias actividades que condujeron a la descarga e implementación de un archivo ELF, aparentemente una versión Linux de NerbianRAT, una técnica consistente con los TTP de Magnet Goblin.
«Además de Ivanti, Magnet Goblin históricamente se centró en Magento, Qlik Sense y posiblemente Apache ActiveMQ para implementar su malware personalizado para Linux, así como software de gestión y supervisión remota como ConnectWises ScreenConnect», añadió CheckPoint. «Algunas de estas actividades se describieron públicamente pero no estaban vinculadas a ningún actor en particular».
Eliminación de malware personalizado para Linux
Los piratas informáticos de Magnet Goblin utilizan malware que pertenece a una familia de malware personalizada llamada Nerbian. Esta familia incluye NerbianRAT, una plataforma multiplataforma. Troyano de acceso remoto (RAT) con variantes para Windows y Linux, y MiniNerbian, un pequeño backdoor para Linux, según CheckPoint.
CheckPoint notó que la infección inicial con vulnerabilidades de 1 día provocó la descarga de más cargas útiles en el sistema afectado. Entre las cargas útiles descargadas se encontraba una variante NerbianRAT Linux.
«Se descargó una nueva variante de NerbianRAT de servidores controlados por atacantes luego de la explotación», agregó CheckPoint.